Sommaire

Introduction générale .......................................................................... 1

Chapitre1 : Introduction de la société Next Step .................................... 2

I. LE CADREDU STAGE ..................................................................................................3

II. Description de la structure sociale de l'entreprise/ organisme .....................................3

1) Organigramme intermédiaire .......................................................................................3

2) Services Pôle DAF, DAL et DRH ................................................................................4

3) Service intégration........................................................................................................4

4) Organigramme de direction Service .............................................................................5

III. Fonctionnement du service...........................................................................................5

1) Conseil, Etude & Assistance technique .......................................................................5

2) Intégration ....................................................................................................................5

3) Infogérance ...................................................................................................................6

IV. Description du service dans lequel le stage a eu lieu ...................................................6

1) Qualification de l’équipe ..............................................................................................6

2) Partenaires stratégiques : ..............................................................................................7

3) Partenaires technologiques : .........................................................................................7

Chapitre 2 : WAN Traditionnel ............................................................................... 8

I. Introduction ......................................................................................................................9

II. Technologies utilisées ..................................................................................................9

1) Connexion haut débit ...................................................................................................9

2) Commutation de paquets ..............................................................................................9

III. Comparaison entre l’MPLS et le SD-WAN ...............................................................12

Chapitre 3 :SD-Wan ........................................................................................... 13

I. Introduction ....................................................................................................................14

Sommaire
 1) Les bénéfices du SD-Wan ..........................................................................................14

2) Le mode opératoire du SD-WAN...............................................................................15

3) Comparaison entre les solutions SD-WAN................................................................20

Chapitre4 : Fortinet Secure SD-WAN ........................................................... 22

I. Fortinet ...........................................................................................................................23

II. Les composants de la solution....................................................................................23

1) Fortigate: ....................................................................................................................23

2) Fortimanager ..............................................................................................................23

3) Fortianalyzer...............................................................................................................26

Chapitre 5 : Réalisation ............................................................................... 30

I. L’environnement du travail............................................................................................31

1) SSl VPN Sophos ........................................................................................................31

2) Connexion bureau à distance......................................................................................31

II. La partie pratique .......................................................................................................32

1) Configuration de base des appareils ...........................................................................32

2) Création du SD-WAN ................................................................................................33

3) Création SD-WAN pour FW1 ....................................................................................34

4) Création SD-WAN pour FW2 ....................................................................................36

5) Création des Policy sur les deux pares-feux...............................................................38

6) Filtrage web et application vers internet sur les deux pares-feux ..............................39

7) Régulation de flux (TrafficShaping) ................................................................. 42

8) Ajouter des pares-feux au fortianalyzer .....................................................................44

9) Ajout des pare-feu et fortianalyzer sur fortimanager .................................................45

10) Configuration du full mesh VPN ............................................................................46

Bibliographie......................................................................................................................48

Sommaire
 Liste des figures
FIGURE 1 : ORGANIGRAMME INTERMEDIAIRE .................................................................................. 3
FIGURE 2 : SERVICES POLE DAF, DAL ET DRH ................................................................................... 4
FIGURE 3 SERVICE INTEGRATION ......................................................................................................... 4
FIGURE 4 : ORGANIGRAMME DE DIRECTION SERVICE .................................................................... 5
FIGURE 5 : QUALIFICATION DE L’EQUIPE ........................................................................................... 6
FIGURE 6 : PARTENAIRES STRATEGIQUES .......................................................................................... 7
FIGURE 7 : PARTENAIRES TECHNOLOGIQUE ...................................................................................... 7
FIGURE 8 : WAN .......................................................................................................................................... 9
FIGURE 9 : LES RESEAUX MPLS ............................................................................................................ 11
FIGURE 10 : LES BENEFICES DU SD-WAN........................................................................................... 14
FIGURE 11 : ENTERPRISE SD-WAN ....................................................................................................... 17
FIGURE 12 : ENTERPRISE SD-WAN ....................................................................................................... 18
FIGURE 13 : ENTERPRISE SD-WAN ....................................................................................................... 19
FIGURE 14 : LES MODULES DU FORTIMANAGER ............................................................................. 24
FIGURE 15 : LES MODULES DU FORTIANALAYZER......................................................................... 27
FIGURE 16 : LA STRUCTURE DU PROJET ............................................................................................ 33
FIGURE 17 : CREATION DE LA PREMIERE INTERFACE SD-WAN FW 1 ........................................ 34
FIGURE 18 : CREATION DE LA DEUXIEME INTERFACE SD-WAN FW 1 ....................................... 34
FIGURE 19 : LES RESULTATS DE L'INTERFACE SD-WAN FW 1 ..................................................... 35
FIGURE 20 : CREATION DE LA ROUTE STATIQUE POUR FW 1 ...................................................... 35
FIGURE 21 : LE RESULTAT DE LA ROUTE STATIQUE ...................................................................... 35
FIGURE 22 : CREATION DE LA PREMIERE INTERFACE SD-WAN FW 2 ........................................ 36
FIGURE 23 : CREATION DE LA DEUXIEME INTERFACE SD-WAN FW 2 ....................................... 36
FIGURE 24 : RESULTATS DE L'INTERFACE SD-WAN FW 2 .............................................................. 37
FIGURE 25 : CREATION DE LA ROUTE STATIQUE POUR FW 2....................................................... 37
FIGURE 26 : LE RESULTAT DE LA ROUTE STATIQUE ...................................................................... 37
FIGURE 27 : CREATION DE SD-WAN POLICY POUR FW 1 ............................................................... 38
FIGURE 28 : CREATION DE SD-WAN POLICY POUR FW 2 ............................................................... 39
FIGURE 29 : LISTE DES APPLICATIONS CONTROL ........................................................................... 40
FIGURE 30 : CREATION DE L'APPLICATION CONTROL ................................................................... 40
FIGURE 31 : LES APPLICATIONS BLOQUER ....................................................................................... 41
FIGURE 32 : CREATION DU WEB FILTER ............................................................................................ 41
FIGURE 33 : CREATION DU PREMIER TRAFIC SHAPER ................................................................... 42
FIGURE 34 : CREATION DU DEUXIEME TRAFIC SHAPER ............................................................... 42
FIGURE 35 : LE PREMIER SHAPING POLICY ....................................................................................... 43
FIGURE 36 : LA DEUXIEME SHAPING POLICY ................................................................................... 43
FIGURE 37 : LE RESULTAT DU SHAPING POLICY FW1 .................................................................... 44
FIGURE 38 : LE RESULTAT DU SHAPING POLICY FW2 .................................................................... 44
FIGURE 39 : L'AJOUT DES PARE-FEU AU FORTIANLYZER ............................................................ 44
FIGURE 40 : L'AJOUT DES PARE-FEU AU FORTIMANAGER ............................................................ 45
FIGURE 41 : L'AJOUT DU FORTIANALYZER AU FORTIMANAGER ............................................... 45
FIGURE 42 : LES PASSERELLES PAR DEFAUTS DU FULL MESH VPN .......................................... 46

Liste des figures

 Introduction générale

Les réseaux d'aujourd'hui sont extrêmement lourds à gérer manuellement. Les

ingénieurs doivent être familiarisés avec une interface de ligne de commande cryptée. Ils sont
en outre amenés à répéter de nombreuses tâches, boîte après boîte, pour mettre en œuvre un
changement. Avec l'adoption croissante du cloud computing qui entraîne une transformation
numérique dans l'entreprise, le SD-WAN est rapidement devenu une partie intégrante des
stratégies informatiques. Alors que l'ère numérique évolue et que le transfert de données à haut
débit devient primordial pour l'expansion des entreprises à l'échelle mondiale, il n'est pas
étonnant que les entreprises se tournent vers le SD-WAN, qui représente une étape clé dans la
construction de réseaux agiles avec un temps de fonctionnement, une visibilité et une sécurité
élevés dans toutes les régions.

Introduction générale Page 1

 Chapitre 1 :
Introduction de la
société nextstep

Chapitre1 : Introduction de la société Page 2

 I. LE CADRE DU STAGE :
L’entreprise NextStep a démarré ses propres activités en 2012.
Aujourd’hui, NextStep regroupe 100 employés. Elle aide les entreprises à avoir une
infrastructure IT capable d’améliorer leur rentabilité, elle réussit à augmenter la satisfaction de
leurs clients et à réduire le risque opérationnel.

II. Description de la structure sociale de l'entreprise /

organisme
La société NextStep regroupe 100] d’employés, qui sont divisés en 4 départements, tous sous
la direction du Président-directeur général, ces départements sont comme suit :
➢ Intégration
➢ Services managés & Cloud Intégration
➢ Support Client
➢ Conseil, étude & assistance technique

1) Organigramme intermédiaire :

DG

Marketing Qualité

Pôle DAF, DAL et

DRH Pôle services
Pôle intégration
Amor Ezzedine BoulbabaLabiadh
Hichem Harhira

Figure 1 : Organigramme intermédiaire

Chapitre1 : Introduction de la société Page 3

 2) Services Pôle DAF, DAL et DRH:

Responsable du
Pôle
Amor Ezzedine

Comptabilité et Achat et
finance DRH et MG
logistique

Aide comptable Achat et Agent

et finance logistique maintenance
(bâtiment et
auto)

Facturation Stock

Recouvrement

Figure 2 : Services Pôle DAF, DAL et DRH

3) Service intégration :

Responsable du pôle
Hichem Harhira

Directeur Projets Directeur ingénierie Salles

Chef de projet Consultant AM

Figure 3 Service intégration

Chapitre1 : Introduction de la société Page 4

 4) Organigramme de direction Service:

Responsable du Pôle
Boulbaba Labiadh

Man. Serv& Cloud Serv Support et infogérance Contact center

Figure 4 : Organigramme de direction Service

III. Fonctionnement du service :

Chaque service a sa propre mission et activité.

1) Conseil, Etude & Assistance technique :

Conseil
2) Conception des infrastructures réseau, sécurité, communications unifiées et système
Etude
3) Etude de besoin et rédaction des cahiers de charges
4) Etude de performance
5) Audit d’infrastructure réseau et sécurité
Assistant technique
6) Stabilisation de l’infrastructure
7) Optimisation des configurations des équipements réseau et sécurité
8) Renforcement de la sécurité de l’infrastructure
9) Assistance à l’implémentation des normes (ISO27001, ISO 20000, PCI-DSS,etc.)

IV. Intégration :

Infrastructure
1) Solutions de réseaux LAN, WAN, Mobilité, Data Center, Virtualisation et Système
Communication
2) Collaboration, Communication unifiée, téléphonie IP, solutions de vidéoconférence
Sécurité
3) Sécurité du périmètre, Sécurité Internet, Authentification forte
Gestion et supervision

Chapitre1 : Introduction de la société Page 5

 4) Suivi de performance, Alertes, Tableaux de bord, KPI, Gestion des configurations,
Service Desk, Gestion de parc

V. Infogérance :

Outils
1) Préparation des phases préalables de l’infogérance (périmètre/objectif/SLA/…)
2) Mise en place du système Service Desk et gestion des tickets
Ressource
3) Allocation des ressources humaines (Technicien / Ingénieur) sur site chez le client
Supervision
4) Supervision et monitoring sur site chez le client
5) Supervision et monitoring à distance chez Next StepIT
Champs d’action
6) Switch, Routeur, Wifi, Firewall, IPS, Antivirus, Windows Server, Virtualisation, PC,
imprimante, Messagerie électronique, etc.

IV. Description du service dans lequel le stage a eu lieu

Nous avons procédé à des installations dans le département intégration. Ce département offre
• Des solutions de sécurité informatique
• Des infrastructures réseau et système
• Des solutions de collaboration et communications unifiées

1) Qualification de l’équipe:

Figure 5 : Qualification de l’équipe

Chapitre1 : Introduction de la société Page 6

2) Partenaires stratégiques :

Figure 6 : Partenaires stratégiques

3) Partenaires technologiques :

Figure 7 : Partenaires technologique

Chapitre1 : Introduction de la société Page 7

 Chapitre 2 : WAN
Traditionnel

Chapitre2 : WAN Traditionnel Page 8

 I. Introduction :
Un réseau étendu, souvent désigné par son acronyme anglais WAN (Wide Area
Network), est un réseau informatique ou un réseau de télécommunications couvrant une grande
zone géographique, typiquement à l'échelle d'un pays, d'un continent, ou de la planète entière.

Le plus grand WAN est le réseau Internet.

En principe, le nombre de réseaux locaux ou d’ordinateurs connectés à un réseau étendu est

illimité.

Figure 8 : WAN

II. Technologies utilisées :

1) Connexion haut débit :

Une liaison point à point (DSL) est une connexion entre le réseau du client et celui de l'opérateur
qui se fait généralement via des lignes louées (ou LL) en cuivre ou en fibre optique. Au bout de
chaque ligne, on place un routeur connecté d'un côté au réseau local du client et de l'autre à
l'infrastructure de l’opérateur.

2) Commutation de paquets :
De type ATM ou IP, ils permettent un débit garanti par le fournisseur d'accès à Internet (FAI).

Chapitre2 : WAN Traditionnel Page 9

Ce type de connexion peut utiliser les protocoles comme :

➢ X.25, (obsolète)

X.25 est un protocole pour réseaux à commutation de paquets. Il définit non seulement un mode
d'échanges de données, mais surtout un contrôle de flux entre les terminaux (hôtes), ou DTE
(Data Terminal Equipment), et le nœud du réseau, ou DCE (Data Communications Equipment).

L'avantage de X.25 réside dans son mode de transmission des paquets, qui se fait dans l'ordre
d'émission.

Son inconvénient est un taux de transfert relativement lent, à moins de 64 kbit/s.

➢ Frame Relay, (en voie d'obsolescence avancée):

Frame-Relay est un protocole à commutation de paquets situé au niveau de la couche de liaison

(niveau 2) du modèle OSI, utilisé pour les échanges intersites (WAN).

✓ Caractéristiques :

Destiné pour des équipements numériques haut de gamme et à haut débit.

Fonctionne au niveau des couches 1 et 2 du modèle OSI.

Utilise des circuits virtuels dans un environnement commuté.

Technologie à commutation de paquets, et à accès multiples.

• Les inconvénients :

*Capacité de vérification des erreurs et fiabilité minime (laissées aux protocoles de couches
supérieures).

*Affecte le fonctionnement de certains aspects (Split Horizon, broadcasts, etc.).

➢ ATM, (en voie d'obsolescence) :

ATM (Asynchronous Transfer Mode) est une technologie réseau, apparue au début des années
1990, gérant le transport de la voix, de la vidéo aussi bien que celle des données en garantissant
une qualité de service.

Chapitre2 : WAN Traditionnel Page 10

ATM emploie une technique de commutation à mi-chemin entre la commutation de circuit
(téléphonie) et la commutation de paquets (X25). Les cellules sont commutées au sein des
équipements, définissant des circuits virtuels.

➢ MPLS (le plus utiliser de nos jours)

Dans les réseaux informatiques et les télécommunications, Multi Protocol Label Switching
(MPLS) est un mécanisme de transport de données basé sur la commutation de labels (des «
étiquettes »), qui sont insérées à l'entrée du réseau MPLS et retirées à sa sortie.

Ce protocole a évolué pour fournir un service unifié de transport de données pour les clients en
utilisant une technique de commutation des paquets.

MPLS peut être utilisé pour transporter pratiquement tout type de trafic.

Figure 9 : Les réseaux MPLS

➢ Les restrictions et les inconvénients du MPLS :

Coût élevé, les opérateurs vendant leurs solutions MPLS très cher.

Un seul lien disponible à la fois.

En effet, même si l’entreprise contracte une offre avec un lien principal et un lien de secours, les
deux liens ne peuvent en général pas fonctionner en parallèle.

Le client est tributaire d’un opérateur unique, chez qui il achète son lien et éventuellement son
lien de secours.

Page 11
Chapitre2 : WAN Traditionnel
 III. Comparaison entre l’MPLS et le SD-WAN :
Certains critères décisionnels doivent être pris en compte avant de migrer d'un réseau MPLS
traditionnel vers un SD-WAN. Par rapport au SD-WAN, le MPLS ne propose pas les
performances applicatives attendues, ni la capacité à se connecter facilement au cloud. Il devient
donc tentant de migrer vers le SD-WAN. Cependant, de nombreux fournisseurs de SD-WAN
n'offrent pas le niveau de sécurité nécessaire, exposant ainsi les entreprises à des vulnérabilités
fortuites. Le MPLS achemine le trafic vers le data center via un trackback ce qui améliore le
niveau de sécurité par rapport aux fournisseurs qui n'intègrent pas la sécurité à leur plateforme
SD-WAN.

➢ Voici un comparatif des deux options :

SD-WAN MPLS

Si la sécurité n'est pas intégrée en natif, elle doit Trackback pour réacheminer le
Sécurité
être rajoutée après trafic Internet vers le datacenter

Visibilité étendue sur les applications Le routage des paquets pèse sur
Visibilité
la visibilité

Capitalise sur le MPLS, des liens à haut débit et Le MPLS, seul, propose des
Performances
la 4G pour assurer des performances optimales performances atones

Simplifie la montée en charge des capacités grâce Processus lent, qui peut se
Évolutivité
au haut-débit compter en mois

Des coûts importants de

La consolidation des services favorise la maîtrise
Coût
conception, de déploiement et
des coûts.
de maintenance

0 Chapitre2 : WAN Traditionnel Page 12

 Chapitre 3 : SD-Wan

Chapitre3 : SD-WAN Page 13

 I. Introduction :
Comme son nom l'indique, les réseaux étendus définis par logiciel utilisent des logiciels
pour contrôler la connectivité, la gestion et les services entre les centres de données et les
succursales distantes ou les instances cloud.

Comme son plus grand frère technologique, la mise en réseau définie par logiciel, le SD- WAN
dissocie le plan de contrôle du plan des données.

1) Les bénéfices du SD-Wan :

Figure 10 : Les bénéfices du SD-WAN

L’objectif du SD-WAN est de simplifier le management et l’opérabilité du WAN, ou Réseau

Privé Etendu, par un mécanisme d’identification et de priorisation intelligente et dynamique
des flux.

Le principe de « Software Defined » est le même qu’au sein d’un Datacenter dans le cadre de
la virtualisation du réseau, avec NFV (Network Functions Virtualization) ou encore SDN
(Software Defined Network).

Un déploiement SD-WAN peut inclure des routeurs et commutateurs existants ou des

équipements Virtualisés des locaux clients (VCPE) exécutant tous une version de logiciel qui
gère les politiques, la sécurité, les fonctions de mise en réseau et d'autres outils de gestion, en
fonction de la configuration du fournisseur et du client.

L’une des principales caractéristiques du SD-WAN est la possibilité de gérer plusieurs

Connexions du MPLS au haut débit en passant par LTE.

Un autre élément important est la possibilité de segmenter, partitionner et sécuriser le trafic

traversant le WAN.
Chapitre3 : SD-WAN Page 14
Le principe directeur du SD-WAN est de simplifier la façon avec laquelle les grandes
entreprises créent de nouveaux liens vers les succursales (branch), et de mieux gérer la façon
dont ces liens sont utilisés - pour les données, la voix ou la vidéo - et potentiellement économiser
de l'argent dans le processus.

2) Le mode opératoire du SD-WAN :

Une solution SD-WAN connecte les utilisateurs à tous types d'applications déployées dans le
data center ou dans le cloud.

Le SD-WAN détermine intelligemment le chemin offrant les meilleures performances pour

une application spécifique. Le trafic est ensuite routé via le chemin WAN idéal, alors que les
WAN traditionnels n'ont d'autre choix que d'acheminer le trafic via les liens MPLS.

Voici quelques caractéristiques qui définissent le fonctionnement d'une solution SD-WAN et

ses différences vis-à-vis d'une infrastructure WAN :

➢ Reconnaissance des applications

Avec un WAN traditionnel, les entreprises subissent une expérience en deçà de leurs attentes
et peinent à offrir une bande passante adaptée aux applications cruciales. Puisque les
architectures WAN existantes dépendent du routage des paquets, ils n'offrent pas de visibilité
détaillée sur les applications.
Les solutions SD-WAN, en revanche, identifient intelligemment les applications dès le premier
paquet de données. Les équipes réseau disposent de la visibilité nécessaire pour identifier les
applications utilisées au sein de leur entreprise, ce qui permet de prendre des décisions plus
intelligentes et de définir des règles plus pertinentes.
➢ Contrôle du multi-path
Les solutions SD-WAN offrent trois liens pour acheminer le trafic : une connexion MPLS, une
connexion à haut-débit et un tunnel IPsec.
La solution SD-WAN identifie intelligemment les applications et détermine le chemin le plus
adapté pour leur trafic. De plus, une technologie multi-path permet de basculer
automatiquement le trafic vers le lien le plus performant en cas de défaillance du lien primaire.
Cette automatisation simplifie l'exploitation du réseau. Elle améliore l'expérience utilisateur,
ainsi que les performances applicatives.
• Load balancing :

Chapitre3 : SD-WAN Page 15

L'équilibrage de charge répartit le trafic sur plusieurs chemins, ce qui permet une meilleure
efficacité et une latence plus faible pour les applications, en particulier dans les situations de
trafic intense. Les organisations peuvent exécuter l'équilibrage de charge aussi bas que la
couche d'interface réseau et aussi haut que le centre de données ou le cloud.
Étant donné que plusieurs chemins existent pour l'équilibrage de charge, un certain degré de
basculement existe; si un chemin devient inaccessible, l'autre continue.
✓ Source IP : Le FortiGate répartit le trafic de manière égale entre les interfaces
incluses dans l'interface SD-WAN. Cependant, les sessions qui démarrent à la
même adresse IP source utilisent le même chemin. C'est la valeur par défaut.
✓ Sessions : Le FortiGate répartit la charge de travail en fonction du nombre de
sessions connectées via les interfaces. Le Forti Gate utilise le poids que vous
attribuez à chaque interface pour calculer un pourcentage du nombre total de
sessions autorisées à se connecter via chaque interface.
✓ Spillover : Si la quantité de bande passante de trafic sur une interface dépasse
les seuils d'entrée ou de sortie que vous avez définis pour cette interface, le
FortiGate envoie du trafic supplémentaire via l'une des autres interfaces
membres SD-WAN.
✓ Source-Destination IP : Le FortiGate répartit le trafic de manière égale entre
les interfaces incluses dans l'interface SD-WAN . Cependant, les sessions qui
démarrent à la même adresse IP source et vont à la même adresse IP de
destination utilisent le même chemin.
✓ Volume : Le FortiGate répartit la charge de travail en fonction de la quantité
de paquets passant par les interfaces. Le FortiGate utilise le poids de volume
que vous attribuez à chaque interface pour calculer un pourcentage de la bande
passante totale autorisée à passer par chaque interface. Le FortiGate répartit
ensuite la bande passante entre les interfaces en conséquence.
• Performance SLA :
Performance SLA link monitoring mesure la santé des liens connectés aux interfaces membres
SD-WAN en envoyant des signaux de détection via chaque lien à un serveur et en mesurant la
qualité de la liaison en fonction de la latence, de la gigue et de la perte de paquets. Si un lien
est rompu, les routes sur ce lien sont supprimées et le trafic est acheminé via d'autres liens.
Lorsque le lien fonctionne à nouveau, les itinéraires sont réactivés. Cela évite que le trafic soit
envoyé vers un lien rompu et perdu.

Chapitre3 : SD-WAN Page 16

 ➢ Déploiement automatisé
Les solutions SD-WAN dissocient la couche de contrôle de celle du traitement des données
mais les gèrent de manière centralisée. Le SD-WAN accélère les déploiements grâce à un
provisioning automatisé et à grande échelle.
Une console de gestion unifiée permet de piloter les opérations réseau et de sécurité, ce
qui simplifie l'exploitation du WAN Edge.
➢ Traffic shaping:
Utilisez traffic shaper dans un firewall shaping policy pour contrôler le flux de trafic. Vous
pouvez l'utiliser pour contrôler la bande passante maximale et garantie, ou attribuer un certain
trafic à l'une des trois priorités de trafic différentes : élevée, moyenne ou faible.
Une politique de mise en forme avancée peut classer le trafic en 30 groupes. Utilisez shaping
profile pour définir le pourcentage de la bande passante d'interface allouée à chaque groupe.
Chaque groupe de trafic est façonné en fonction de la limite de vitesse attribuée en fonction de
la limite de bande passante sortante configurée sur l'interface.
➢ Il existe trois méthodes :
• Shared Shaping : vous permet de définir la bande passante maximale et la bande
passante garantie définie pour une politique de sécurité.
• Per-IP shaping : vous permet de définir le contrôle du trafic à un niveau plus
granulaire.
•Interface-based shaping : va plus loin, permettant des contrôles de trafic basés sur le
pourcentage de l'interface bande passante.
➢ Cas d’utilisation du SD-WAN :

Figure 11 : Enterprise SD-WAN

Chapitre3 : SD-WAN Page 17

Dans l'exemple présenté sur cette diapositive, le client dépend fortement d'un MPLS coûteux et
inflexible. Tout le trafic est acheminé via le circuit MPLS vers le cloud du fournisseur, puis
vers le cloud public ou Internet, en fonction des applications. Il n'y a pas de flexibilité dans ce
scénario, et pourtant c'est une solution coûteuse pour le client. Comment le client peut-il ajouter
de la redondance, de la flexibilité, de la fiabilité et, surtout, de la sécurité, sans ajouter
d'infrastructure coûteuse

Figure 12 : Enterprise SD-WAN

Dans l'exemple présenté sur cette diapositive, le client souhaite conserver MPLS pour les
applications critiques de l'entreprise tout en ajoutant de la flexibilité et de la redondance. MPLS
est utilisé pour envoyer le trafic critique (par exemple, voix et vidéo) basé sur le meilleur chemin
avec moins de retard, de gigue ou de perte de paquets. Dans le cas où le chemin actuel se
dégrade en dessous du seuil de stratégie, le trafic critique pour l'entreprise sera redirigé vers un
nouveau tunnel. En outre, le trafic non critique est équilibré en charge sur différentes lignes
pour maximiser la bande passante ou minimiser les coûts. Dans le même temps, la succursale
peut avoir un accès direct sécurisé à Internet, ce qui améliore les performances de l'application
cloud, et peut équilibrer la charge du contenu SaaS et IaaS si nécessaire.

Chapitre3 : SD-WAN Page 18

 Figure 13 : Enterprise SD-WAN

Dans l'exemple présenté sur cette diapositive, le MPLS coûteux est remplacé par deux tunnels
VPN Internet, tout en bénéficiant d'une résilience et d'une redondance robustes. En remplaçant
MPLS, le client peut minimiser les coûts tout en maximisant la qualité. La solution SD-WAN
est une solution prenant en charge les applications réseau qui sélectionne dynamiquement le
meilleur WAN pour maintenir un SLA plus élevé.

Chapitre3 : SD-WAN Page 19

 3) Comparaison entre les solutions SD-WAN:
VeloCloud
Fortinet Cisco Silver Peak
VMware

SD-WAN accéléré
Oui Non Non Non
ASIC

NGFW intégré Oui Oui Non Non

Disponibilité multi-
Oui Oui Oui Oui
plateforme

Auto-guérison SD-
Oui Oui Oui Non
WAN
Déploiement sans
Oui Oui Oui Non
intervention

➢ Solution Cisco :

La solution SD-WAN de Cisco est mise en œuvre sous forme de logiciel pouvant être déployé
sur une gamme d’Appliance Cisco. Alors que Fortinet Secure SD-WAN partage l'approche de
déploiement sans contact de Cisco, la solution Fortinet implémente la fonctionnalité SD- WAN
prise en charge par un ASIC personnalisé. Cela permet à Fortinet Secure SD-WAN d'atteindre
un débit beaucoup plus élevé que ce qui serait possible avec une solution logicielle.

➢ Solution Silver Peak :

Silver Peak annonce une solution SD-WAN sécurisée qui fonctionne sur l'ensemble du WAN
de l'entreprise. Cette solution est mise en œuvre grâce à des partenariats avec plusieurs
fournisseurs de sécurité tiers, dont les solutions sont connectées à la solution SD-WAN de Silver
Peak. Bien que cela permette à une organisation de mettre en œuvre les contrôles de sécurité
requis pour la confidentialité et la conformité réglementaire, cela se fait au prix d'une
augmentation des frais généraux, de la complexité et du coût total de possession.

Fortinet propose une solution SD-WAN sécurisée entièrement intégrée. Plutôt que de s'appuyer
sur un ensemble de solutions ponctuelles autonomes, les NGFW FortiGate ont intégré la
fonctionnalité SD-WAN et font partie de Fortinet Security Fabric. Cela leur permet

Chapitre3 : SD-WAN Page 20

d’optimiser les opérations de réseau et de sécurité et de fournir une visibilité et une gestion
uniques de l’ensemble de l’infrastructure WAN d’une organisation.

➢ Solution VeloCloud/VMware :
✓ VMware SD-WAN de VeloCloud se positionne comme étant conçu pour fournir
une connectivité SD-WAN haute performance et fiable dans tout le WAN de
l'entreprise. Cependant, il manque de fonctionnalités essentielles, notamment la
sécurité intégrée, les fonctionnalités d'optimisation WAN traditionnelles et la prise
en charged'IPv6.
✓ VeloCloud prend en charge un large éventail d'environnements de déploiement et,
bien que la prise en charge des VNF (Virtual Network Functions) par VeloCloud lui
permette de prendre en charge un large éventail de solutions de sécurité tierces, il le
fait souvent au détriment des performances. L'intégration d'un NGFW tiers en tant
que VNF sur certains modèles VeloCloud diminue le débit global de l’appareil.

En revanche, les solutions Fortinet utilisent un ASIC personnalisé pour fournir la fonctionnalité
SD-WAN et incorporer un NGFW intégré. L'efficacité accrue fournie par ce matériel
personnalisé permet à Fortinet Secure SD-WAN d'effectuer une inspection complète du trafic
réseau non chiffré et chiffré avec des performances de pointe.

Chapitre3 : SD-WAN Page 21

 Chapitre4 : Fortinet secureSD- WAN

Chapitre4 : Fortinet Secure SD-WAN Page 22

 I. Fortinet :
Fortinet est une société multinationale américaine dont le siège social se situe à
Sunnyvale (Californie). Elle conçoit et commercialise, entre autres, des logiciels, équipements
(Appliance) et services de cybersécurité tels que des pares-feux, anti-virus, systèmes de
prévention d’intrusion et de sécurité des terminaux. Elle occupe le quatrième rang mondial des
acteurs de la sécurité réseau en termes de chiffre d’affaires.

II. Les composants de la solution :

1) Fortigate :
Next-generation firewalls (NGFWs) filtre le trafic réseau pour protéger une organisation contre
les menaces internes et externes. En plus de maintenir les fonctionnalités des pare-feu avec état
telles que le filtrage de paquets, la prise en charge IPsec et SSL VPN, la surveillance du réseau
et les fonctionnalités de mappage IP, les NGFW possèdent des capacités d'inspection de contenu
plus approfondies. Ces capacités permettent d'identifier les attaques, les logiciels malveillants
et autres menaces, et permettent au NGFW de bloquer ces menaces. Les NGFW fournissent
aux entreprises une inspection SSL, un contrôle des applications, une prévention des intrusions
et une visibilité avancée sur toute la surface d'attaque.

2) Fortimanager :
Quand devriez-vous utiliser fortimanager dans votre réseau

Dans les grandes entreprises et les fournisseurs de services de sécurité gérés (MSSP). La taille
du réseau pose des problèmes : les petits réseaux ne disposent pas d'un provisionnement de
masse, de la planification du déploiement des modifications de configuration et de la
maintenance, du suivi et de l'audit de nombreux changements.

La gestion centralisée via Fortimanager peut vous aider à gérer plus facilement de nombreux
types de déploiement avec de nombreux appareils et à réduire les coûts d'exploitation

➢ Que peut faire Fortimanager?

• Mettre en place des politiques de pare-feu sur votre réseau
• Servir de référentiel central pour le contrôle des révisions de configuration et
les audits de sécurité
• Déployer et gérer des VPN IPsec maillés et en étoile complexes
• Agir en tant que serveur de distribution fortiguard privé pour vos appareils
gérés

Chapitre4 : Fortinet Secure SD-WAN Page 23

 • il Script et automatise l'approvisionnement des appareils, les changements de politique, et plus
encore avec les API JSON

➢ Fortimanager Panes :

Figure 14 : les modules du Fortimanager

➢ Device Manager :

Utilisez le Device Manager Pane pour ajouter, configurer et gérer des périphériques.

Le Device Manager Pane comprend les onglets suivants :

Device & Groups : Ajoutez, configurez et affichez les périphériques gérés et de journalisation.
Utilisez la barre d'outils pour ajouter des périphériques, des groupes de périphériques et lancer
install wizard. L'onglet Device & Groups contient également une barre d'état rapide pour un
groupe de périphériques sélectionné.

• Firmware : Afficher des informations sur le Firmware des appareils ainsi que la
mise à niveau du Firmware
• Licence : Affichez les informations de licence pour les appareils et transmettez
les mises à jour de licence aux appareils.
• Provisioning Templates: Configure provisioning templates par exemple les
System templates, Threat Weight templates ,Certificate templates.

Chapitre4 : Fortinet Secure SD-WAN Page 24

 • Scripts : Créez de nouveaux scripts ou importez-les. Les scripts sont désactivés
par défaut.
• SD-WAN: Configurer load balancing, SD-WAN links et surveillez load-
balancing profiles.
➢ Fabricview:

FabricView module vous permet d'afficher les classifications Security Fabric des
configurations pour les groupes FortiGate Security Fabric ainsi que de créer des connecteurs
Fabric.

➢ Policy and Objects :

Le volet Policy and Objects vous permet de gérer et de configurer de manière centralisée
les périphériques gérés par l'unité FortiManager. Cela inclut les paramètres réseau de base pour
connecter l'appareil au réseau de l'entreprise, les définitions d'antivirus, les signatures de
protection contre les intrusions, les règles d'accès et la gestion et la mise à jour du Firmware
des appareils.

Les options suivantes sont disponibles sur le Policy Packages tab :

• Policy Package
• Install Wizard
• Tools
➢ VPN Manager :

Utilisez le volet VPN Manager pour activer et utiliser la gestion VPN centrale. Vous
pouvez afficher et configurer les paramètres VPN IPsec et SSL-VPN que vous pouvez installer
sur un ou plusieurs appareils.

Le volet VPN Manager comprend les onglets suivants :

IPsec VPN, Monitor, MapView , SSL-VPN .

➢ AP Manager :

Utilisez AP Manager pour gérer les points d'accès FortiAP.

Le volet AP Manager comprend les onglets suivants :

Chapitre4 : Fortinet Secure SD-WAN Page 25

 • Managed APs: Affiche les appareils FortiAP non autorisés et autorisés. Vous
pouvez afficher, autoriser et modifier les appareils FortiAP autorisés.
• Monitor : Surveillez les appareils FortiAP et les clients qui y sont connectés.
• Mapview : Affichez les emplacements des appareils FortiAP sur Google Maps.
Vous pouvez créer un plan d'étage, ajouter une image d'un plan d'étage et placer
les appareils FortiAP sur la carte.
• WiFi profiles : Affichez, créez, modifiez et importez des profils AP, des SSID
et des profils WIDS.
➢ FortiSwitch Manager :
• Le module FortiSwitch Manager vous permet de gérer de manière centralisée les
modèles et les VLAN FortiSwitch, et de surveiller les appareils FortiSwitch
connectés aux appareils FortiGate. Vous pouvez configurer plusieurs modèles pour
des plates-formes FortiSwitch spécifiques qui peuvent être attribuées à plusieurs
appareils.
• Le module FortiSwitch Manager comprend les ongletssuivants:
• Managed Switches, Monitor, FortiSwitchTemplates.

3) Fortianalyzer:
fortianalyzer agrège les données de journal d'un ou plusieurs périphériques fortigate, en
agissant comme un dépôt de journal centralisé. Cela fournit un canal unique pour accéder à
l'ensemble des données de votre réseau, vous n'avez donc pas besoin d'accéder à plusieurs
appareils plusieurs fois par jour.

Le workflow de journalisation et de création de rapports fonctionne comme suit :

1. Les appareils enregistrés envoient des journaux à Fortianalyzer

2. Fortianalyzer rassemble et stocke ces journaux d'une manière qui facilite la recherche et
l'exécution de rapports

3. Les administrateurs peuvent se connecter à Fortianalyzer à l'aide de l'interface graphique

pour afficher les journaux manuellement ou consulter les données de tout rapport généré

Certaines fonctionnalités clés de Fortianalyzer incluent la création de rapports, la génération

d'alertes et l'archivage de contenus

Chapitre4 : Fortinet Secure SD-WAN Page 26

 ➢ Les rapports fournissent une image claire des événements, des activités et des tendances
du réseau sur les appareils pris en charge. Les rapports FortiAnalyzer rassemblent les
informations dans des journaux afin que vous puissiez interpréter les informations et, si
nécessaire, prendre des mesures. Vous pouvez archiver et filtrer les connaissances du réseau
que vous glanez à partir de ces rapports et les analyser à des fins de compilation ou d'analyse
historique.
➢ Les alertes Fortianalyzer vous permettent de réagir rapidement aux menaces, car il n'est
pas réaliste de surveiller physiquement votre réseau 24 heures sur 24. Le système génère
des alertes lorsque des conditions spécifiques dans les journaux, sont remplies - les
conditions que vous avez configurées FortiAnalyzer pour surveiller les appareils enregistrés
- Vous pouvez voir vos alertes sur l'interface graphique via EVENT manager, et vous
pouvez également envoyer des alertes à plusieurs destinataires par e-mail, SNMP, ou syslog.
➢ L'archivage de contenu offre un moyen de consigner et d'archiver simultanément des
copies complètes ou résumées du contenu transmis sur le réseau. Vous utilisez généralement
l'archivage de contenu pour empêcher les informations sensibles de sortir du réseau de votre
organisation, vous pouvez également l'utiliser pour enregistrer l'utilisation du réseau. Le
moteur de prévention des fuites de données peut examiner les e-mails, FTP, NNTP et le
trafic Web, mais vous devez configurer le paramètre d'archivage pour la règle eash dans un
capteur DLP sur Fortigate, afin que vous puissiez spécifier ce que vous souhaitez archiver.
➢ Fortianalyzer Panes :

Figure 15 : les modules du Fortianalayzer

Chapitre4 : Fortinet Secure SD-WAN Page 27

 ➢ Device Manager :

Utilisez le Device Manager Pane pour ajouter, configurer et gérer des périphériques et
des VDOM.

Une fois que vous avez ajouté et enregistré un appareil ou un VDOM, l'unité FortiAnalyzer
commence à collecter les journaux de cet appareil ou VDOM. Vous pouvez configurer l'unité
FortiAnalyzer pour transférer les journaux vers un autre appareil.

➢ FortiView:

FortiView est un système de surveillance complet pour votre réseau qui intègre les
données en temps réel et historiques dans une seule vue. Il peut enregistrer et surveiller les
menaces sur les réseaux, filtrer les données à plusieurs niveaux, suivre l'activité administrative,
etc.

FortiView vous permet d'utiliser plusieurs filtres dans les consoles, vous permettant de
restreindre votre vue à une heure spécifique, par ID utilisateur ou adresse IP locale, par
application et autres. Vous pouvez l'utiliser pour enquêter sur l'activité du trafic, comme les
mises en ligne / téléchargements d'utilisateurs ou les vidéos regardées sur YouTube sur un
groupe d'utilisateurs à l'échelle du réseau ou au niveau de l'utilisateur individuel. Il présente les
informations sous forme textuelle et visuelle.

➢ NOC & SOC :

Le NOC (Network Operations Center) et SOC (Security Operations Center) est conçu
pour un centre d'opérations de réseau et de sécurité où plusieurs tableaux de bord sont affichés
sur de grands moniteurs dans un environnement NOC et SOC.

NOC - SOC affiche à la fois la surveillance en temps réel et les tendances historiques. Cette
surveillance et cette conscience centralisées vous aident à surveiller efficacement les
événements réseau, les menaces et les alertes de sécurité.

Utilisez les tableaux de bord NOC-SOC pour afficher plusieurs volets de l'activité réseau, y
compris la surveillance de la sécurité du réseau, des hôtes compromis, des vulnérabilités, de la
structure de sécurité, de la sécurité WiFi et des performances du système.

Chapitre4 : Fortinet Secure SD-WAN Page 28

 ➢ Log View :
Vous pouvez afficher les informations du journal par appareil ou par groupe de
journaux.

Lorsque les ADOM sont activés, chaque ADOM a ses propres informations affichées dans la
vue du journal.

La vue du journal affiche les messages du journal des journaux Analytics et des journaux
d’archivage :

• Les journaux historiques et les journaux en temps réel dans la vue du journal
proviennent des journaux Analytics.
• Log Browse peut afficher les journaux à la fois du fichier journal actif actuel et
de tout fichier journal compressé.
➢ Event Manager :
• Event Manager affiche tous les événements générés par évent handlers.
• Lorsque les ADOM sont activés, chaque ADOM possède ses propres évent
handlers et listes des évènements. Assurez-vous que vous êtes dans le bon
ADOM avant d'afficher Event Manager.
➢ Reports :
Vous pouvez générer des rapports de données à partir de logs à l'aide de la fonction
Rapports. Vous pouvez faire ce qui suit :

• Utilisez des rapports prédéfinis. Des modèles de rapport, des graphiques et des
macros prédéfinis sont disponibles pour vous aider à créer de nouveaux rapports.
• Créez des rapports personnalisés.
• Les fichiers de rapport sont stockés dans l'espace réservé à l'appareil
FortiAnalyzer

Chapitre4 : Fortinet Secure SD-WAN Page 29

 Chapitre 5 :
Réalisation

Chapitre 5 : Réalisation Page 30

 I. L’environnement du travail :

1) SSl VPN Sophos :

L'onglet SSL VPN (Remote Access) permet de contrôler les appareils distants connectés
à votre système. La fonction SSL d'accès à distance de Sophos XG Firewall est réalisée par
Open VPN, une solution VPN SSL complète. Vous pouvez créer des tunnels chiffrés point à
point entre les employés distants et votre entreprise, nécessitant à la fois des certificats SSL et
une combinaison nom d'utilisateur / mot de passe pour l'authentification. Cela permet d'accéder
aux ressources internes.

Connexion bureau à distance :

La fonction « Connexion Bureau à distance » de Windows est un excellent moyen

d'accéder aux fichiers et aux applications sur un ordinateur depuis un emplacement extérieur.
Cela peut être utile pour travailler en dehors du bureau, mais aussi pour se divertir en dehors de
la maison. Et même pour le dépannage qui nécessite l'intervention d'un technicien.

Chapitre 5 : Réalisation Page 31

II. La partie pratique :

1) Configuration de base des appareils :

Nos pcs sont configurés avec des adresses statiques (deux cartes réseaux), les firewalls
(FW1 et FW2) ont 3 Ports (port 1 : Lan, port 2 : WAN1 et port 3 : WAN2), (Fortianalyzer) FAZ
et (Fortimanager) FMG

➢ PC1 :
• Carte réseaux 1 : IPV4 adresse :[Link]/24
• Carte réseaux 2 : IPV4 adresse :[Link]/24
• Passerelle par défaut : [Link]
➢ FW1 :
• Port1(lan) : IPV4 adresse :[Link]/24
• Port2(WAN1) : IPV4 adresse :[Link]/24
• Passerelle par défaut : [Link]
• Port3(WAN2) : IPV4 adresse :[Link]/24
• Passerelle par défaut :[Link]
➢ PC2 :
• Carte réseaux 1 : IPV4 adresse :[Link]/24
• Carte réseaux 2 : IPV4 adresse :[Link]/24
• Passerelle par défaut : [Link]
➢ FW2 :
• Port1(Lan) : IPV4 adresse :[Link]/24
• Port2(WAN1) : IPV4 adresse :[Link]/24
• Passerelle par défaut : [Link]
• Port3(WAN2) : IPV4 adresse :[Link]/24
• Passerelle par défaut : [Link]
➢ FortiAnalyzer (FAZ) :[Link]
➢ FortiManager (FMG) :[Link]

Chapitre 5 : Réalisation Page 32

 Figure 16 : la structure du projet

2) Création du SD-WAN

Lorsque vous configurez SD-WAN, vous devez spécifier au moins deux interfaces
membres et leurs passerelles. Vous devez configurer le SD-WAN tôt, lors de la configuration
initiale de FortiGate car, si une interface est déjà référencée par une stratégie de pare-feu ou une
route statique, vous ne pouvez pas l'utiliser comme interface membre. Si vous avez l'intention
d’utiliser une interface en tant que membre SD-WAN, et cette interface est référencée par une
stratégie de pare-feu ou statique route, vous devez supprimer la stratégie de pare-feu et la route
statique associées avant de pouvoir attribuer cette interface comme un membre SD-WAN. SD-
WAN prend en charge les interfaces physiques ainsi que le VLAN, l'agrégat et IPsec les
interfaces.

Chapitre 5 : Réalisation Page 33

 3) Création SD-WAN pourFW1
D’abord on commence par configurer les deux interfaces :

➢ Donc pour configurer la première interface, on clique sur (Create New), on choisit
l’interface (WAN (port 2)) et puis on donne la passerelle par défaut ([Link])
comme cette figure l’indique.

Figure 17 : création de la première interface SD-WAN FW 1

➢ Pour configurer la deuxième interface, on clique sur (Create New), on choisit l’interface
(WAN (port 3)) et puis on donne la passerelle par défaut ([Link]) comme cette
figure l’indique.

Figure 18 : création de la deuxième interface SD-WAN FW 1

Chapitre 5 : Réalisation Page 34

Donc le résultat sera comme cette figure le montre

Figure 19 : les résultats de l'interface SD-WAN FW 1

On a obtenu deux interfaces configurées et le pourcentage des flux (montant et décédant) montre
qu’il s’agit d’une bonne configuration. Après la configuration des deux interfaces, on ajoute
notre SD-WAN dans la route statique.

Figure 20 : création du statique routes pour FW 1

On obtient ce résultat ci-dessus :

Figure 21 : le résultat de la route statique

Chapitre 5 : Réalisation Page 35

 4) Création SD-WAN pour FW2
Mêmes étapes que pour le FW1 : on commence par configurer les deux interfaces qui vont créer
notre SD-WAN.

Pour la première interface on clique sur (Create New), on choisit l’interface (WAN-1 (port 2))
et puis on donne la passerelle par défaut ([Link]) comme cette figure l’indique.

Figure 22 : création de la première interface SD-WAN FW 2

Pour configurer la deuxième interface on clique sur (Create New), on choisit l’interface (WAN-
2 (port 3)) et puis on donne la passerelle par défaut ([Link]) comme cette figure
l’indique.

Figure 23 : création de la deuxième interface SD-WAN FW 2

Chapitre 5 : Réalisation Page 36

Donc le résultat sera comme cette figure le montre

Figure 24 : Résultats de l'interface SD-WAN FW 2

On obtient deux interfaces configurées et le pourcentage des flux (montant et descendant) montre
qu’il s’agit d’une bonne configuration

Après la configuration des deux interfaces, on ajoute notre SD-WAN dans la route statique

Figure 25 : création de la route statique pour FW 2

On obtient ce résultat après la configuration ci-dessus

Figure 26 : le résultat de route statique

Chapitre 5 : Réalisation Page 37

 5) Création des Policy sur les deux pares-feux :
Pour le premier FW on a créé une politique/ipv4, donc on a configuré l’interface entrante sur le
port 1 (LAN), l’interface sortante sur le port SD-WAN (port 2/port 3), source : tout, destination
: tout,le planning : tout le temps et service : tout.

Figure 27 : création de SD-WAN Policy pour FW 1

Chapitre 5 : Réalisation Page 38

Même configuration pour le deuxième FW

Figure 28 : création de SD-WAN Policy pour FW 2

6) Filtrage web et application vers internet sur les deux pares-feux :

De nombreuses entreprises choisissent de bloquer l'accès aux médias sociaux au travail parce
qu'elles craignent une mauvaise utilisation de la part des employés ainsi que la baisse de
productivité qui en résulte.

Chapitre 5 : Réalisation Page 39

Donc pour cette raison on a bloqué l’accès de quelques applications qui appartiennent aux
réseaux sociaux, pour cela, on a configuré un profil de sécurité appelé (social media)

Figure 29 : liste des applications control

Et pour le configurer, on a cliqué sur (Create New) et dans outrepasser d'application et de filtre
(Application and filter overrides) on clique sur (Create New) et dans la barre de recherche on
tape le nom de l’application qu’on veut bloquer (YouTube, comme cet exemple) et puis on
clique sur (Add Selected).

Figure 30 : création de l'application control

Chapitre 5 : Réalisation Page 40

On a bloqué 4 sites qui appartiennent aux réseaux sociaux (Facebook, Instagram, YouTube,
Twitter)

Figure 31 : les applications bloquer

➢ Pour configurer le web filtre on accède au firewall, on appuie sur (security profiles) on
choisit « web filter » puis « creat new », on donne le nom du web filtre et les sites qu’on
doit bloquer puis on appuie sur « apply ».

Figure 32 : Création du web filter

Chapitre 5 : Réalisation Page 41

 7) Régulation de flux (Traffic Shaping):
La mise en forme du trafic est une technique de gestion de la bande passante qui donne la
priorité à un trafic spécifique par rapport à d’autres ainsi la perte potentielle du trafic est moins
dommageable.

Dans cet exemple on configure 2 régulations de flux pour (Voix IP et l’accès internet), on limite
le flux pour l’accès internet car il n’a pas la même importance que VOIP comme le montre cette
image, et pour le réaliser on a créé 2 agents de trafic (Traffic Shapers) telles que ces captures le
montrent

Figure 33 : création du premier trafic shaper

Figure 34 : création du deuxième trafic shaper

Chapitre 5 : Réalisation Page 42

Après on doit configurer 2 politiques d'aménagement du trafic (Traffic Shaping Policy) pour
contrôler la façon dont le trafic est aménagé.

Figure 35 : le premier shaping policy

Figure 36 : la deuxième shaping policy

Chapitre 5 : Réalisation Page 43

Le résultat comme cette capture le montre :

Figure 37 : le résultat du shapingpolicy FW1

Mêmes étapes pour le deuxième pare-feu :

Figure 38 : le résultat du shaping policy FW2

8) Ajouter des pares-feux au fortianalyzer:

Pour ajouter un équipement au fortianalyzer, on doit d’abord activer la connexion : on accède
au firewall et la fenêtre « securityfabric», on appuie sur « settings » puis on active le fotianalyzer
). Ensuite on donne son adresse et on appuie sur tester la connectivité, un message s’affiche
indiquant que la connexion a échoué, on doit alors à ce moment-là accéder au fortianalyzer pour
permettre la connexion. Le résultat est le suivant :

Figure 39 : L'ajout des pares-feux au Fortianlyzer

Chapitre 5 : Réalisation Page 44

 9) Ajout des pare-feu et fortianalyzer sur fortimanager:
Pour ajouter un firewall au fortimanager, on doit d’abord activer la connexion : on accède au
firewall et la fenêtre « securityfabric », on appuie sur « settings « puis on active le (central
management) ensuite on donne l’adresse du fortimanager et on appuie sur« tester la connectivité
». Un message s’affiche indiquant qu’on va être déconnecté du firawall car le fortimanager a
pris le contrôle, on doit alors accéder au fortimanager pour permettre la connexion et on aura le
résultat suivant :

Figure 40 : l'ajout des pares-feux au Fortimanager

Pour ajouter fortianalyzer sur fortimanager, on accède au « settings » on appuie sur

« network » et on coche ( fortimanager) puis on accède au fortimanager, on appuie sur
« device manager » puis « addfortianalyzer » et on suit les étapes . On obtient le résultat
suivant:

Figure 41 : l'ajout du Fortianalyzer au Fortimanager

Chapitre 5 : Réalisation Page 45

 10) Configuration du full mesh VPN :
Pour configurer le full mesh, on doit accéder au fotimanager puis au (VPN Manager ) et
on appuie sur « create new » et on donne le nom et les configurations d’encryptions du VPN ,
ensuite on doit configurer les Gateway on appuie sur «create new managed gateway »et on
continue avec le «setup wizard » on donne le «Protected network » qui est l’adresse locale du
firewall , on choisit le firewall dans «Device » , on choisit l’interface vpn dans «default VPN
interface » , on laisse «Local Gateway » sur [Link] et ensuite on laisse « Routing » sur «
automatic » . Après la configuration des Gateway des deux firewalls, on doit configurer deux
Policy de trafic entrant et sortant via le VPN mesh.

Figure 42 : les passerelles par défauts du Full Mesh VPN

Chapitre 5 : Réalisation Page 46

 Conclusion :

Le SD-WAN peut réduire de 90 % le coût du réseau étendu de l'entreprise tout en

éliminant des problèmes majeurs comme la sécurité, la bande passante et la synchronisation des
applications. Les solutions SD-WAN modernes offrent plus d'agilité et de connectivité et de
meilleures performances pour permettre l'utilisation de technologies de nouvelle génération par
rapport aux réseaux étendus traditionnels.

Plus vous adoptez des solutions de grand trafic et d'IOT, plus vous aurez besoin de la
technologie SD-WAN pour votre entreprise.

Non seulement elle rendra la collecte de données plus efficace, mais elle ouvrira la porte
à des services en nuage plus robustes, tels que des logiciels d'automatisation. En outre, vous
pourrez utiliser plus de bande passante à moindre coût.

Conclusion Page 47
Bibliographie :
✓ [Link]
✓ [Link]
[Link]
✓ [Link]
avantagesinconvenients/#:~:text=Les%20inconv%C3%A9nients%20majeurs%20du%
20MPLS,
g%C3%A9n%C3%A9ral%20pas%20fonctionner%20en%20parall%C3%A8le.
✓ [Link]
wan-load-balancing
✓ [Link]
link-monitoring
✓ [Link]
shaping-and-qos
✓ [Link]
✓ [Link]
✓ [Link]
✓ [Link]

Bibliographie Page 48